Регистрация событий безопасности в отношении персональных данных

Определение событий безопасности, подлежащих регистрации, сроков их хранения, состава и содержания информации о событиях безопасности, реагирование на инциденты безопасности, использование SIEM

25 февраля 2021 г.

4 марта 2021 г.

Регистрировать ли события безопасности ПДн?

Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» регламентирует реализацию организационных и технических мер обеспечения безопасности, которые необходимо использовать оператору персональных данных для соблюдения требований Федерального закона «О персональных данных».

Согласно второй главе Приказа ФСТЭК России №21:

"8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят: <…> регистрация событий безопасности;

<…>

8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них."

Таким образом, регистрация событий безопасности является одной из необходимых мер обеспечения безопасности персональных данных.

Новые требования по обнаружению фактов несанкционированного доступа к ПДн

В конце 2020 года вступил в силу Федеральный закон от 30.12.2020 №515-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности", который дополнил п. 6 ч. 2 ст. 19 Федерального закона «О персональных данных» следующей формулировкой:

"2. Обеспечение безопасности персональных данных достигается, в частности:

<…>

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;"

Для выполнения обновленных требований Федерального закона «О персональных данных» могут использоваться следующие меры обеспечения безопасности персональных данных из Приказа ФСТЭК России №21:

Исходя из анализа правил реализации вышеперечисленных мер, описанных в Методических указаниях ФСТЭК России от 11 февраля 2014 «Меры защиты информации в государственных информационных системах», можно выделить следующие требования по реализации процесса регистрации событий безопасности:

  1. Обеспечить обнаружение и предотвращение вторжений (компьютерных атак) посредством системы обнаружения вторжений, которая должна включать в себя компоненты регистрации, анализа и реагирования на события безопасности.
  2. Определить перечень событий безопасности, которые необходимо регистрировать, с учетом возможных угроз безопасности информации.
  3. Определить, какую информацию о событиях безопасности необходимо фиксировать в системе регистрации событий.
  4. Установить сроки обработки информации о событиях безопасности.
  5. Проводить периодический мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагировать на них.
  6. Обеспечить синхронизацию системного времени для точной фиксации событий безопасности.
  7. Отобразить реализацию вышеперечисленных рекомендаций в организационно-распорядительных документах по защите информации.

Для выполнения требований законодательства можно использовать SIEM решения.

Какие события безопасности необходимо регистрировать?

Согласно ст. 3 Федерального закона «О персональных данных» под ИСПДн понимается: совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Таким образом, регистрация событий безопасности возможна как на уровне базы данных, так и на уровне технологий обработки (например, на сервере приложений).

В результате анализа содержания мер по обеспечению безопасности персональных данных Приказа ФСТЭК России №21, Методических указаний ФСТЭК России, а также Международного стандарта ISO/IEC 27701 (Менеджмент персональной информации) нами был сформирован следующий рекомендуемый к регистрации список событий безопасности:

Лента сообщений в удобном формате: